ホーム > 情報セキュリティ > セキュリティROIと確率論

セキュリティROIと確率論

 昨年(2004年)は、やたらとセキュリティROI(Return On Investment:投資対効果)に関する問い合わせや、講演依頼が多かった。IT投資やセキュリティ投資が一巡し、じゃあいったいどのぐらいのお金をセキュリティの対策に使うのが適正なのかという当然の流れだ。

 セキュリティROIに関する講義に出席した。担当はビジネススクールと経済学出身の二人の教員。基本的な考え方は、想定される各リスクの被害額期待値の総和からセキュリティコストを引いたNPV(Net Present Value)を算定するという一般的なもの。

 私もこの分野で仕事をしていたので少し突っ込みを入れてみた。このような単純な算定では想定されるリスクの被害額の見積りによって、適正なセキュリティコストを決定しているにすぎない。投資額のどんぶり勘定を、被害額のどんぶり勘定に置き換えているだけである。見積被害額の値を操作することで、適正な投資額はいくらでもコントロールすることができてしまう。もっともビジネススクールでは、ビジネスケース分析としてこういった手法を用いるのが標準的なので仕方がない。

 セキュリティに関する意思決定は、絶対的なものでなく経営者なり責任者の価値観や決意という要素を考慮する必要がある。そのような意思決定の場面で上記の計算式を持ち出し、彼らを手助けをするのが我々の仕事だ。

 ここでポイントになるのが被害額期待値の算出である。期待値の算出はリスクの発生確率(P)×リスクが発生した場合の被害額(L)を計算する。まず被害額Lは様々な方法で計算することができる。問題は発生確率Pをどう算定するか。残念ながら客観的な指標はセキュリティ保険がメジャーになりデータが蓄積されない限り難しい。

 じゃあ、どうするのか。ここが専門家の腕の見せ所である。過去のデータや事例を参考に、これこれこういう条件を過去事例と比較した場合、おおよそ○%~○%のリスクが想定される。エコノミーコースでは●%、おまかせコースでは▲%、安心コースでは■%という確率とそれぞれのコストを提供する。もちろんそれぞれのリスク分析については誰が聞いても納得がいくだけの説明が必要だ。

 人間が関わる限り情報セキュリティに絶対安全という状態はない。組織の位置づけや文化、価値観、社会情勢など様々な要素を考慮していかなければならず、そういった部分で主観的な判断が必要となる。また、本来はセキュリティ被害は必ずしも金銭的なものに留まるわけでなく、もっと広い視野でROIを考えた方が良い場合もある。そのような評価を行う場合には、バランスドスコアカードなど別の方法を用いる。

 セキュリティは技術論にとどまらず組織、社会、経営などと密接に関係しており広範な領域を対象にしなければならない大変奥深い領域だ。

 確率論と意思決定に関しては、以下の書籍がお勧めである。セキュリティに限らず、広く経営書としても人気があるので、読まれている方も多いと思うが、もしまだであれば一読をお勧めする。確率論の起源からギャンブル、金融工学の考え方までリスクと意思決定に関する知的な戦いをカバーした良書である。


4532190797.09.LZZZZZZZ.jpg
 4532190800.09.MZZZZZZZ.jpg

リスク〈上/下〉―神々への反逆(日経ビジネス人文庫)
ピーター バーンスタイン (著), Peter L. Bernstein (原著), 青山 護 (翻訳)
価格: ¥750 (上下各:税込)
注)画像へは実験的にAmazonアソシエイト(アフィリエイト)プログラムのリンクを設定しています。

カテゴリー: 情報セキュリティ タグ:
  1. コメントはまだありません。
  1. トラックバックはまだありません。

CAPTCHA